中, 6월부터 외국기업 데이터 옥죄기… 한국기업들 “희생양 될라” 대책 비상

최근 아모레퍼시픽은 중국 사업장에서 나온 고객정보 등의 데이터를 분리하는 작업을 마쳤다. 이니스프리, 에뛰드를 비롯한 16개 브랜드의 중국 사업에서 나온 정보는 이젠 한국 송도의 데이터센터가 아니라 마이크로소프트(MS)가 중국에서 운영 중인 클라우드 ‘애저’에 저장된다.

지난해 11월 중국이 전국인민대표대회에서 통과시킨 ‘네트워크 안전법’의 올해 6월 1일 시행을 앞두고 아모레퍼시픽이 발 빠르게 대응한 것이다.

중국 정부는 사이버 공격과 유해정보 확산, 개인정보 보호 등을 통해 국가 안보를 수호한다는 명분으로 이 법을 만들었다. 하지만 중국에서 사업을 하는 외국 기업들은 이 법이 외국 기업 감시 및 진입 장벽 강화로 작용할 것으로 보고 있다. 자국민의 개인정보를 수집하거나 처리하는 기업은 해당 서버를 중국에 둬야 하고, 해외에 저장되는 데이터는 중국 당국의 광범위한 검증을 받도록 하는 내용이 포함되어 있기 때문이다.

아직 법안의 세부 시행령이 나오지 않았지만 중국에서 사업을 하고 있는 국내 주요 기업들은 6월 법 시행을 앞두고 대책을 마련하느라 분주하다.

삼성그룹 LG그룹은 계열사별로 해당 법안에 따른 영향을 파악하고 있는 것으로 알려졌다. LG CNS 관계자는 “중국에서 발생한 데이터를 중국 내 데이터센터로 옮길 때 들어가는 비용이나 기간이 어느 정도인지 파악하고 있다. 11월에 공개된 법안에서 공시된 개인정보 수집 동의 및 파기 등과 관련한 시스템 개편 작업을 진행하고 있다”고 말했다.

국내 기업들은 중국 정부가 어떤 기업을 핵심 정보 인프라 운영자로 정의할 것인지에 촉각을 곤두세우고 있다. 핵심 정보 인프라 운영자로 지정되면 각종 보안심사와 안전평가를 받아야 하고 핵심 정보 인프라와 관련된 개인정보는 반드시 중국 현지 서버에 저장해야 한다.

지난해 공개된 초안에서는 사용자 수를 기준으로 일정 수준을 넘어가면 핵심 정보 인프라 운영자로 지정될 수 있다고 명시했으나 최종 안에는 그 부분이 빠졌다. 그 대신 통신·방송, 에너지, 교통, 금융, 의료 등 네트워크 안전과 관련되는 부문을 핵심 정보 인프라로 정의한다는 다소 모호한 기준으로 바뀌었다.

중국에서 클라우드 서비스에 관한 컨설팅을 제공하는 기업인 베스핀글로벌의 이한주 대표는 “공식 입법 절차를 통해 채택한 네트워크 안전법이 법적 근거를 가지게 됨에 따라 6월 시행 후 본보기로 일부 해외 기업에 대해 법 미준수를 이유로 철퇴를 내릴 수도 있다”고 말했다.

전문가들은 중국 정부가 이 법률을 통해 중국에서 사업하는 해외 기업의 규제를 강화할 것으로 보고 있다. 주중 미국상공회의소는 이 법이 통과된 직후에 성명을 통해 “이 법은 외국 기업의 진입장벽을 높이는 결과를 초래하고 보안보다는 보호주의를 강조하는 것”이라고 강하게 비판한 바 있다.

김유향 국회입법조사처 과학방송통신팀장은 “지금과 같은 보호무역 강화 분위기 속에서 중국 정부가 핵심 정보 인프라 운영자 지정 기준을 유연하게 가져갈 가능성이 높다”며 “중국 사업 비중이 높은 기업들은 현지에 서버를 두는 식으로 미리 준비하는 것이 좋을 것”이라고 말했다.

신수정 crystal@donga.com·김재희 기자